Frank's Blog

什麼是Hijackthis？
掃瞄目前電腦中幕前幕後所在執行的程式及核心機碼並產生報告，針對產生的清單來手動移除某些有問題的機碼。

選用Hijackthis的原因
Hijackthis對於只使用防毒軟體來保護自己或解毒的使用者來說，應該非常陌生，但是這個小程式卻能找出許多防毒軟體找不到的問題。剛接觸ptt的病毒板時，那裡充斥著許多發表Log的文章，一開始筆者還以為自己走錯地方嘞，怎麼不是在討論病毒嗎？這裡更像是分析Log的地方。ptt的病毒版非常重視Combofix、Hijackthis、SRENG這三套系統分析報告軟體所產生的報告，這些報告即前面所提到的Log，使用者們可以安裝這三套程式並執行產生Log後發布到ptt的病毒版上，以藉此詢問自己電腦問題的解決方法，雖然板上高手眾多，但是總有人無法得到解答(也可能你不是正妹這類的)，此時該怎麼辦呢？回家吃自己嗎？這裡提供只利用Hijackthis這套程式來找出電腦內的毛病。筆者會選Hijackthis的原因是因為Hijackthis有線上分析資料庫網站，可提供使用者上傳自己的Log，並產生建議報告，除了一些需要自己判斷的類型以外，使用者仍然可以靠自己手動移除一些常見的惡意程式。

使用方法

1. 掃瞄前作業：

• 把自己的Windows Service Pack更新到最新版。
• IE也要上網更新一下。
• 無特別狀況，不要在安全模式中執行以下掃瞄工作，因為這樣可能找不到某些惡意程式。

2. 首先到官方網站下載Hijackthis最新版本，本文使用2.0.0.2版來做說明。(http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)

3. 執行HiJackThis.exe，選擇【Do a system scan and save a logfile】掃瞄電腦並產生Log。

4. 將產生的Log全文複製，然後使用線上分析來看看哪些程式或機碼有問題。(http://hijackthis.de/index.php?langselect=english)

5.分析結果產生後…
(I)Kind欄位的各圖示代表如下：

• 系統符號：系統程式。
• 綠色 V記號：安全。
• 紅色 X記號：建議刪除。
• 黃色 X記號：可安全刪除。
• 黃色 ?記號：無法判斷，需人工解讀。（如果為不明檔案路徑或機碼，可將檔案路徑或機碼使用Google搜索查詢。）
• 白色盾牌：掃毒/防木馬程式。
• 防火牆圖：防火牆。

(II)接下來於Vistor's assessment 欄位上，尋找nasty表示有危險的項目，這裡要特別注意的是或許在Kind欄位上它是顯示安全的或是防火牆等類型，但如果在此顯示為nasty，那麼可能是偽裝程式，例如c:\windows\avp.exe，這就是讓你以為是卡巴X基防毒程式的惡意程式。

6. 從以上簡單的分析，我們可以找出一些常見需要修改的機碼，回到Hijackthis程式主界面，我們選擇【Do a system scan only】，並在有問題的項目上勾選，使用以下的【Fix checked】來修復不正常的機碼。

P.s. 特別注意修復開頭為O10的機碼，將會有無法上網的問題，解決方法如下：

● For Windows XP，修復完後執行WinSockXPFix便可解決無法上網的問題。
（http://www.pchell.com/downloads/WinsockXPFix.exe，先下載起來，免的不能上網時也無法下載。）

● For Windows 2000 以前版本，修復完後再執行WinSockFix便可解決無法上網的問題。
（http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml，先下載起來，免的不能上網時也無法下載。）